Para compartir una capa con otra Cuenta de AWS, agregue una instrucción de permisos para varias cuentas a la política basada en los recursos de la capa. Ejecute el comando add-layer-version-permissionprincipal. En cada instrucción, puede conceder permiso a una única cuenta, a todas las cuentas o a una organización en AWS Organizations.
El siguiente ejemplo concede a la cuenta 111122223333 acceso a la versión 2 de la capa bash-runtime.
aws lambda add-layer-version-permission \ --layer-name bash-runtime \ --version-number 2 \ --statement-id xaccount \ --action lambda:GetLayerVersion \ --principal 111122223333 \ --output text
Debería ver una salida similar a esta:
{"Sid":"xaccount","Effect":"Allow","Principal":{"AWS":"arn:aws:iam::111122223333:root"},"Action":"lambda:GetLayerVersion","Resource":"arn:aws:lambda:us-east-1:123456789012:layer:bash-runtime:2"}Los permisos solo se aplican a una única versión de una capa. Repita el proceso cada vez que cree una nueva versión de la capa.
Para conceder permiso a todas las cuentas en una organización de AWS Organizations, utilice la opción organization-id. En el siguiente ejemplo, se concede a todas las cuentas de una organización o-t194hfs8cz permiso para utilizar la versión 3 de my-layer.
aws lambda add-layer-version-permission \ --layer-name my-layer \ --version-number 3 \ --statement-id engineering-org \ --principal '*' \ --action lambda:GetLayerVersion \ --organization-id o-t194hfs8cz \ --output text
Debería ver los siguientes datos de salida:
{"Sid":"engineering-org","Effect":"Allow","Principal":"*","Action":"lambda:GetLayerVersion","Resource":"arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3","Condition":{"StringEquals":{"aws:PrincipalOrgID":"o-t194hfs8cz"}}}"
Para conceder permisos a diferentes cuentas u organizaciones, tendrá que agregar varias instrucciones.
